Cómo cumplir con GDPR para tiendas de comercio electrónico: un resumen conciso de lo que necesita hacer
Publicado: 2021-08-19Ha habido mucha confusión sobre el cumplimiento de GDPR para las tiendas de comercio electrónico, así que decidí tomarme el tiempo para resumir de manera concisa las acciones que he tomado para cumplir con la normativa.
Ahora hay literalmente cientos de publicaciones sobre el RGPD que se pueden encontrar en Google, pero ninguna le dice claramente lo que debe hacerse .
En cambio, o regurgitan el documento GDPR que es casi ilegible o te asustan al cr @% para que pagues por sus servicios de consultoría :)
Bueno, esta publicación le dirá lo que debe hacer sin que el abogado hable ...
Descargo de responsabilidad: no soy abogado ni experto en GDPR. Toda la información aquí se extrae de conversaciones con colegas y abogados. Como resultado, tome todo en esta publicación con un grano de sal. En otras palabras, este artículo es solo para fines informativos.
Le recomiendo que busque asesoramiento legal y otros profesionales para determinar sus propias necesidades de GDPR.
Obtenga mi mini curso gratuito sobre cómo iniciar una tienda de comercio electrónico exitosa
Si está interesado en iniciar un negocio de comercio electrónico, reuní un paquete completo de recursos que lo ayudarán a lanzar su propia tienda en línea desde cero. ¡Asegúrate de agarrarlo antes de irte!
Paso 1: necesita actualizar su política de privacidad
No voy a profundizar demasiado en cómo escribir una política de privacidad. Pero hay muchas empresas de comercio electrónico compatibles y muchos ejemplos para emular .
Simplemente vaya a su tienda de comercio electrónico establecida favorita y eche un vistazo. También hay muchos generadores de políticas de privacidad GDPR donde puede tomar un cuestionario, pagar unos cientos de dólares y obtener una política de privacidad generada automáticamente para usted.
En pocas palabras, debe incluir lo siguiente ...
- Tu información de contacto
- Qué información recopila y cómo y por qué la recopila
- Qué haces con los datos y quién más puede verlos
- Cuáles son los derechos de su visitante según el RGPD
Crear una política de privacidad no es la parte difícil.
Decidir cómo recopilar datos y qué hacer con sus datos existentes es donde radica la principal confusión. Como resultado, aquí es donde centraré mis esfuerzos durante el resto de esta publicación.
Paso 2: corrija sus opciones de correo electrónico posteriores a la compra para visitantes de la UE
Más del 95% de nuestros clientes son de los Estados Unidos, pero recibimos nuestra parte justa de compradores del Reino Unido. En general, cuando alguien compra en nuestra tienda, le enviamos automáticamente una secuencia de respuesta automática posterior a la compra de varios pasos .
Relacionado: 5 Autorespondedores de correo electrónico que su tienda en línea necesita para automatizar las ventas
No hay casilla de verificación. No hay opción. Si ha realizado una compra, obtendrá la secuencia.
Sin embargo, con el RGPD, ahora necesitará obtener un consentimiento explícito para enviar a sus clientes de la UE una secuencia posterior a la compra.
La forma más fácil de hacer esto es tener una casilla de verificación durante el pago que pregunte si les gustaría ser agregados al boletín de su tienda.
Esta casilla de verificación debe estar desmarcada de forma predeterminada.
Si un cliente realiza una compra y ha marcado la casilla, entonces tiene su consentimiento para enviarle correspondencia en el futuro por correo electrónico.
Sin embargo, aquí hay algunas advertencias.
Digamos que incentivar al cliente para comprobar la casilla de verificación, ofreciéndoles un libro electrónico gratuito, descuento o regalo sin decir que van a estar suscrito a su boletín general.
Entonces, ¿adivinen qué? ¡Solo puede entregarles su obsequio sin correspondencia adicional!
Como resultado, con su casilla de verificación, debe dejar en claro que están en su boletín de noticias en curso y que pueden darse de baja en cualquier momento.
Paso 3: ajuste sus opciones de correo electrónico habituales
Una práctica popular entre las tiendas de comercio electrónico es entregar cupones o obsequios gratuitos a cambio de una dirección de correo electrónico. Luego, una vez que se obtiene el correo electrónico, se coloca al cliente en una secuencia automática de compra previa .
Sin embargo, con el RGPD, solo se le permite enviar un correo electrónico al cliente sobre el cupón o el obsequio gratuito y eso es todo.
Debe obtener el consentimiento para cualquier correspondencia futura.
La forma más sencilla de evitar esto es indicar claramente que el cliente de la UE se incluirá en el boletín de su empresa una vez que opte por el cupón o el sorteo.
En pocas palabras, debe informar al cliente de la UE que se incluirá en un boletín de noticias recurrente una vez que se haya suscrito.
Una pregunta común es si necesita colocar una casilla de verificación explícita en su formulario de correo electrónico para obtener el consentimiento. Y hasta donde yo sé, NO se necesita una casilla de verificación.
Le pregunté a varias personas que estaban al tanto sobre este punto exacto. Además, leí dolorosamente el documento de GDPR y en ninguna parte dice explícitamente que NECESITA tener una casilla de verificación.
En cambio, el lenguaje exacto en el documento es que debe comunicar claramente cómo procesará los datos personales de los suscriptores .
El consentimiento debe ser otorgado por un suscriptor y no puede combinarse con acciones no relacionadas . Por lo tanto, siempre que declare explícitamente que les enviará correos electrónicos de manera recurrente en el futuro, debe ser bueno.
Otra pregunta común es si se requiere doble opción para suscribirse al boletín de correo electrónico. Una vez más, no hay nada en el GDPR que establezca que debe usar la opción doble.
Según el RGPD, simplemente debe poder demostrar el consentimiento conforme . Y ingresar información personal en un formulario de suscripción por correo electrónico y hacer clic en "enviar" puede considerarse consentimiento, siempre que sea explícito al informar al cliente para qué se está registrando.
Dicho esto, la doble opción es probablemente una buena práctica a seguir.
Paso 4: Limpia tu lista existente. Envíe correos electrónicos de reanudación solo si es necesario
No sé ustedes, pero he estado recibiendo cientos de correos electrónicos de tiendas pidiéndome que vuelva a participar en su lista y soy de los Estados Unidos.
No hay absolutamente ninguna necesidad de hacer esto para los suscriptores de fuera de la UE y estas empresas están eliminando una gran parte de su lista sin ningún motivo.
La necesidad o no de enviar un correo electrónico de reanudación depende de varios factores . Y debes hacerte las siguientes preguntas ...
- ¿Puede demostrar que sus suscriptores de la UE se inscribieron en su lista? - Si transfirió correos electrónicos de un proveedor a otro o compró una lista de correo electrónico, es probable que no tenga esta información.
Sin embargo, si alguien de la UE se inscribió en su lista, debería registrarse en la base de datos de su proveedor de marketing por correo electrónico. Necesitas comprobar.
- ¿Explicó claramente cómo usaría los datos de los suscriptores y qué contenido puede enviarles? - Utilizando el ejemplo del paso 2, colocaba automáticamente a los clientes de la UE en una secuencia posterior a la compra cuando realizaban una compra.
NO les expliqué claramente que iba a hacer esto. Como resultado, necesito enviar explícitamente un correo electrónico para volver a optar a estas personas.
- ¿Pueden sus suscriptores darse de baja en cualquier momento? - En lo que a mí respecta, esto es normal. Si está utilizando un proveedor de correo electrónico legítimo, la ley exige un enlace para cancelar la suscripción.
Si respondió afirmativamente a las 3 preguntas anteriores, no necesita hacer nada siempre que haya un registro de esto en su base de datos de marketing por correo electrónico. Pero para la mayoría de ustedes, lo más probable es que tenga que volver a optar por todos sus clientes de la UE que estén suscritos a su secuencia posterior a la compra .
Para mi tienda, simplemente segmenté a todos mis clientes de la UE y les envié el siguiente correo electrónico.
Hemos actualizado nuestra Política de privacidad para cumplir con los cambios recientes de GDPR (que entrarán en vigencia el 25 de mayo de 2018). Si desea obtener más información sobre cómo manejamos su información, consulte nuestra Política de privacidad y Términos de servicio actualizados.
Si desea continuar recibiendo nuestros correos electrónicos, confirme su suscripción haciendo clic en el botón a continuación:
¡SÍ! Me gustaría seguir recibiendo correos electrónicos de Bumblebee Linens
Al confirmar su suscripción con el enlace anterior, continuará recibiendo:
- Actualizaciones del último boletín
- Cupones y promociones
- Anuncios de nuevos productos
Cualquiera que no vuelva a optar es eliminado de nuestra base de datos.
Nota: esto no fue un gran problema para nuestra tienda porque no tenemos tantos clientes de la UE
Paso 5: No haga que las personas que no pertenecen a la UE salten por el aro
Muchos propietarios de tiendas que conozco ahora están poniendo casillas de verificación por todas partes para garantizar el consentimiento sin importar quién sea el cliente. Pero el problema es que está reduciendo su tasa de conversión por cada casilla de verificación que agrega.
En lugar de realizar un cambio general en su sitio, es posible que desee considerar la posibilidad de tratar a los clientes de la UE de manera diferente .
Por ejemplo, para la secuencia de correo electrónico posterior a la compra, es posible que desee mostrar la casilla de verificación solo para clientes de la UE . Después de todo, ya sabe que son de la UE porque ingresaron toda la información de su dirección de entrega en su formulario de pago.
Una simple declaración "si" evitará que esta casilla de verificación se muestre a los clientes de EE. UU.
Lo mismo ocurre con cualquier otro formulario en su sitio. Después de todo, no hay razón para que su tasa de conversión se vea afectada, especialmente si la UE es solo un pequeño porcentaje de su negocio en general.
Para nuestra tienda, no envío secuencias de correo electrónico posteriores a la compra a los clientes de la UE por completo. Tampoco actualmente publico anuncios de redireccionamiento a clientes de la UE porque el envío es muy alto y, para empezar, no recibimos tantos clientes de la UE.
Use su propio juicio.
Mi opinión personal sobre las sanciones por infracción del RGPD
Todos están absolutamente aterrorizados por las multas asociadas con la violación del GDPR. Después de todo, las multas son como 20 millones de dólares o el 4% de sus ingresos o algo ridículamente loco como eso.
En primer lugar, los funcionarios de la UE han indicado que las multas probablemente serían un último recurso para la ejecución .
Aquí hay un extracto de una publicación reciente en un blog de la comisionada de información del Reino Unido, Elizabeth Denham .
Es alarmante sugerir que haremos ejemplos tempranos de organizaciones para infracciones menores o que las multas máximas se convertirán en la norma ”, dijo.
El compromiso de la ICO de guiar, asesorar y educar a las organizaciones sobre cómo cumplir con la ley no cambiará bajo el GDPR. Siempre hemos preferido la zanahoria al palo.
Si bien las multas pueden ser el martillo en nuestra caja de herramientas, tenemos acceso a muchas otras herramientas que se adaptan bien a la tarea en cuestión y son igualmente efectivas.
El RGPD nos otorga un conjunto de sanciones para ayudar a las organizaciones a cumplir: advertencias, reprimendas, órdenes correctivas. Si bien estos no afectarán a las organizaciones en el bolsillo, su reputación sufrirá un golpe significativo.
Así es como interpreto esta declaración.
Ellos implementarán las multas solo si está violando intencionalmente el RGPD . Pero si está haciendo su mejor esfuerzo para cumplir, probablemente recibirá varias advertencias antes de que suceda algo drástico.
Nuevamente, esta es mi propia interpretación y por favor tómela con un grano de sal.
Si toma los pasos necesarios para comprender y seguir las regulaciones de GDPR, entonces no tiene nada de qué preocuparse.